Zwei Regelwerke, ein Ziel: KI im Unternehmen ohne böse Überraschung. Kein Grund zur Panik — aber Hausaufgaben. Hier der praktische Guide: was ab wann gilt, was du als „Betreiber" wirklich tun musst und welche Bußgelder drohen. Stand Juni 2026, inkl. dem neuen Digital-Omnibus-Update.
Wer KI im Unternehmen einsetzt, hat es mit zwei Regelwerken zu tun: der DSGVO (schützt personenbezogene Daten) und dem EU AI Act (regelt KI nach Risiko). Sie gelten parallel und überschneiden sich — wer nur eins denkt, übersieht das andere.
Die gute Nachricht: Für die meisten Firmen, die ChatGPT, Copilot oder Claude einfach nutzen („Betreiber"), ist das machbar. Hier der Überblick — mit Fristen, Risiko-Pyramide und Checkliste.
Sie werden ständig verwechselt. Dabei haben sie unterschiedliche Schutzgüter — und greifen genau dort ineinander, wo KI auf personenbezogene Daten trifft.
Gilt, sobald personenbezogene Daten im Spiel sind. Du brauchst eine Rechtsgrundlage, musst Daten sparsam verwenden, einen AVV mit Anbietern schließen und Betroffene informieren. Unabhängig davon, ob KI im Spiel ist.
Stuft KI-Systeme in Risiko-Klassen ein und knüpft daran Pflichten. Je gefährlicher der Einsatz, desto strenger die Auflagen — von „verboten" bis „keine besonderen Pflichten".
Der AI Act fragt nicht „was ist das für eine KI?", sondern „wie riskant ist der Einsatz?". Daraus folgen deine Pflichten.
Die meiste KI, die du im Marketing-Alltag nutzt, liegt unten — „begrenzt" oder „minimal". Erst HR-/Auswahl-KI klettert nach oben.
Der AI Act hat scharfe Zähne — und die DSGVO kommt im Zweifel obendrauf. Die Höchstbeträge nach Verstoß:
des weltweiten Jahresumsatzes — bei verbotenen Praktiken.
bei Verstößen gegen Hochrisiko-Pflichten.
bei falschen Angaben gegenüber Behörden.
bis 20 Mio. € / 4 %, wenn zusätzlich Datenschutz verletzt wird.
Du nutzt KI, baust sie aber nicht selbst? Dann bist du „Betreiber" — und das hier ist deine realistische To-do-Liste.
Schule deine Leute: Was darf KI, was nicht, wo lauern Risiken? Eine kurze, dokumentierte Einweisung reicht zum Start.
Keine personenbezogenen oder sensiblen Daten in KI-Tools ohne Rechtsgrundlage. Im Zweifel anonymisieren oder weglassen.
Auftragsverarbeitungs-Vertrag mit dem KI-Anbieter; EU-Hosting und „kein Training mit deinen Daten" prüfen (Business-Tarife).
Chatbots, KI-Texte, -Bilder und Deepfakes als KI-generiert kennzeichnen. Gute Praxis — und bald Pflicht.
Kein Emotions-Scoring von Mitarbeitern, kein Social Scoring, keine manipulativen Systeme. Diese sind schlicht verboten.
Halte fest: welche KI, wofür, mit welchen Daten. Ein einfaches Verzeichnis genügt, um auskunftsfähig zu sein.
Wer KI für Bewerber-Auswahl, Leistungsbewertung, Schichtplanung oder Kündigungsvorbereitung einsetzt, landet schnell im Hochrisiko-Bereich — mit deutlich mehr Pflichten (Risikomanagement, menschliche Aufsicht, Dokumentation). Hier vorher rechtlichen Rat holen, nicht erst nach der Einführung.
Wer sauber mit Daten und KI umgeht, kann es zeigen — und gewinnt Vertrauen bei Kunden und Mitarbeitern. „DSGVO-konforme KI" ist 2026 ein Verkaufsargument, kein Hindernis.
Der AI Act klingt nach Bürokratie-Monster — ist für normale KI-Nutzer aber überschaubar: Leute schulen, Daten schützen, KI kennzeichnen, Verbote meiden, dokumentieren. Das ist zu schaffen.
Der nächste harte Termin ist der 2. August 2026 (Transparenzpflicht). Die schweren Hochrisiko-Pflichten wurden auf Ende 2027 verschoben — das verschafft Luft, aber kein Nichtstun.
Fang mit der Checkliste rechts an. Den Rest klärt im Zweifel ein Fachanwalt.
Welches Modell für welche Aufgabe, welche Tools wirklich zählen und wie du richtig promptest — komplett lesbar, kein Download.
Jetzt gratis lesen →Ich helfe dir, KI im Unternehmen produktiv UND sauber einzusetzen — mit klaren Regeln, Kennzeichnung und Datenschutz-Hygiene. Für die rechtlichen Details holst du einen Anwalt dazu; ich bringe die Praxis. Lass uns reden.